惡意軟件研究人員發(fā)布了一份關(guān)于Turla后門最新變種的詳細報告，該后門利用電子郵件PDF附件發(fā)起C＆C攻擊。研究人員對俄羅斯聯(lián)系的APT Turla  在有針對性的間諜活動中使用的后門進行了新的分析。最后分析的變體可追溯到2018年4月，它實現(xiàn)了直接在計算機內(nèi)存中執(zhí)行惡意PowerShell腳本的能力。ESET進行的新分析顯示，黑客侵犯了德國  聯(lián)邦外交部，Turla感染了幾臺計算機，并獲取幾乎整個2017年的數(shù)據(jù)。

Turla后門最早從9年前開始使用

Turla是俄羅斯網(wǎng)絡(luò)間諜APT集團（也稱為Waterbug，毒蛇和KRYPTON）的名稱，自2007年以來一直活躍于政府組織和私營企業(yè)。以前已知的受害者名單很長，還包括  瑞士國防公司RUAG，美國國務(wù)院和美國中央司令部。

Turla的武器庫由復(fù)雜的黑客工具和跟蹤為Turla  （Snake  和  Uroburos  rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla的惡意軟件組成  。2016年6月，卡巴斯基的研究人員報告說，Turla APT已經(jīng)開始使用rootkit），Epic Turla（Wipbot和Tavdig）和Gloog Turla。

Turla后門至少從2009年開始使用，并且多年來不斷改進。最新的樣本看起來非常復(fù)雜，實現(xiàn)了罕見的隱身和彈性。最后分析的變體可追溯到2018年4月，它實現(xiàn)了直接在計算機內(nèi)存中執(zhí)行惡意PowerShell腳本的能力。ESET進行的新分析顯示，黑客侵犯了德國  聯(lián)邦外交部，Turla感染了幾臺計算機，并獲取幾乎整個2017年的數(shù)據(jù)。

這次網(wǎng)絡(luò)爆炸首先破壞了該國  聯(lián)邦公共行政學(xué)院的網(wǎng)絡(luò)，然后在2017年3月侵入了外交部網(wǎng)絡(luò)，德國當(dāng)局在年底發(fā)現(xiàn)了黑客攻擊，并于2018年3月公開披露.ESET解釋說新分析中最重要的方面是發(fā)現(xiàn)Turla用來攻擊另外兩個歐洲國家的外國辦事處的秘密訪問渠道。

“重要的是，我們自己的調(diào)查已經(jīng)確定，除了這一廣為人知的安全漏洞之外，該集團還利用同樣的后門向另外兩個歐洲國家的外國辦事處以及一個主要網(wǎng)絡(luò)開放一個隱蔽的接入渠道。國防承包商。這些組織是該APT小組受害者名單中最新的已知組織，至少自2008年以來一直針對政府，州官員，外交官和軍事當(dāng)局。”

Turla后門CC攻擊原理

ESET分析的惡意軟件不使用經(jīng)典的命令和控制服務(wù)器，而是通過電子郵件發(fā)送的PDF文件接收更新和指令。

“而不是使用傳統(tǒng)的  命令和控制  （C＆C）基礎(chǔ)設(shè)施，例如基于HTTP（S）的基礎(chǔ)設(shè)施，后門是通過電子郵件消息操作的; 更具體地說，通過電子郵件附件中的特制PDF文件�？梢灾甘臼芨腥镜臋C器執(zhí)行一系列命令。最重要的是，這些包括數(shù)據(jù)泄露，以及下載其他文件以及執(zhí)行其他程序和命令。數(shù)據(jù)泄露本身也通過PDF文件進行。“

通過生成帶有虹吸數(shù)據(jù)的PDF并通過電子郵件和消息元數(shù)據(jù)發(fā)送出來獲取信息。

“從PDF文檔中，后門能夠恢復(fù)攻擊者在日志中調(diào)用容器的行為。這是一個二進制blob，其特殊格式包含后門的加密命令，從技術(shù)上講，附件不一定是有效的PDF文檔。唯一的要求是它包含一個正確格式的容器。“

Turla后門刪除發(fā)送給攻擊者或從攻擊者收到的消息以保持隱身。

后門是一個獨立的DLL（動態(tài)鏈接庫），它與Outlook和The Bat交互！電子郵件客戶端，它通過使用COM對象劫持獲得持久性。有了這個技巧，每次Outlook加載COM對象時都可以加載惡意DLL。與其他后門不同，Turla示例顛覆了Microsoft Outlook的合法郵件應(yīng)用程序編程接口（MAPI），以訪問目標郵箱并避免被檢測到。

后門在完整列表下面實現(xiàn)了幾個命令：

ESET專家沒有檢測到任何PDF樣本，包括后門命令，但他們能夠創(chuàng)建這樣的文檔。

可以在GitHub上找到妥協(xié)指標（IoC）和樣本的完整列表  。

原文鏈接：https://securityaffairs.co/wordpress/75589/malware/turla-backdoor-pdf.html

標簽： cc攻擊 安全 電子郵件 服務(wù)器 腳本 漏洞 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。